In ogni software possono essere presenti delle vulnerabilità più o meno critiche.
È importante, al fine di avere dei sistemi senza vulnerabilità note esposte e sfruttabili da terzi, tenere sempre costantemente aggiornate i propri sistemi.
Ma quali sono le vulnerabilità dei sistemi SAP? Dove posso trovare quelle note e capire se il mio sistema è aggiornato?
Cosa sono le SAP Security note?
Anche SAP come altri vendor ha un giorno pianificato dei rilasci periodici per risolvere problematiche di sicurezza dei software rilasciati.
Le patch vengono rilasciate da SAP tramite delle note.
Queste sono dei documenti pubblicati sul portale SAP al quale ogni cliente ha accesso. Viene indicato cosa deve essere fatto a livello di configurazione oppure cosa deve essere fatto a livello di correzione di programmi.
Per risolvere una determinata vulnerabilità presente.
Ogni secondo martedì del mese vengono pubblicate le SAP Security Patch.
Più in generale le:
- SAP security Patch sono quelle più critiche e vengono pubblicate ogni mese, spesso queste sono quelle scoperte da ricercatori esterni
- Support Package Implementation Notes (SPIN)
- Contengono patch di livelli più bassi e spesso identificate internamente da SAP
Dove posso trovare le SAP Security note?
Esistono due punti principali dove vedere le security note:
- SAP Portal (servono le credenziali valide per accedere)
- Wiki page sulla community SAP
Ma qual è la differenza?
A livello di contenuti, nessuna.
Il primo sito è specifico del cliente e quindi le security note possono essere personalizzate e viste in base ai sistemi che hai installato, i tuoi.
Sono mostrate tutte le security notes ma possono essere filtrate anche per sistema
Nel secondo sito, essendo pubblico, sono presenti tutte le security note relative alle patch identificate. Indipendentemente dai sistemi che hai installato tu.
CVSS cosa è?
Si tratta di un framework internazionale per classificare le vulnerabilità (CVSS Common Vulnerability Scoring System) può essere applicato a diversi sistemi e tecnologie.
Anche SAP utilizza questo framework per classificare le vulnerabilità dei propri software.
Ecco come sono calcolate le vulnerabilità SAP rispetto alla classificazione CVSS (sulla destra)
- LOW -> 0.1 a 3.9
- MEDIUM -> 4.0 a 6.9
- HIGH -> 7.0 a 8.9
- HOT NEW -> 9.0 a 10.0
Come applicare le SAP Security Notes?
Possono essere applicate utilizzando la transazione SNOTE (o anche SUM Software Update Manager), questi strumenti solitamente sono gestiti dai sistemisti.
Posso applicarle subito o devono svolgere dei test?
In generale le security note non comportano blocchi di sistema, tuttavia devono essere analizzate al fine di individuare parti che potrebbero impattare sull'operatività.
Tramite il SAP Solution Manager è possibile attivare due moduli (serve svolgere delle configurazioni ad hoc) che permettono di agevolare questo compito:
- Usage And Procedure Logging (UPL)
- Business Process Change Analyzer (BPCA)
Ma da dove partire?
Utilizza gli strumenti che hai a disposizione identificando le vulnerabilità attive e più gravi, partendo da quelle.
Ricordati che lo strumento RSECNOTE utilizzabile tramite la transazione ST13 è diventato obsoleto e quindi non conviene utilizzarlo.